در کاتالوگ PyPI (شاخص بسته پایتون)، چندین بسته شناسایی شده است که شامل کد استخراج رمزارز پنهان است. مشکلاتی در بستههای maratlib، maratlib1، matplatlib-plus، mllearnlib، mplatlib و learninglib وجود داشت که نامهای آنها از نظر املای مشابه با کتابخانههای محبوب (matplotlib) انتخاب شد و انتظار داشت کاربر در هنگام نوشتن اشتباه کند و اشتباه کند. تفاوت ها را متوجه نشوید (typesquatting). این بسته ها در ماه آوریل تحت اکانت nedog123 پست شدند و در مجموع در مدت دو ماه حدود 5 هزار بار دانلود شدند.
کد مخرب در کتابخانه maratlib قرار گرفت که در بسته های دیگر به صورت وابستگی استفاده می شد. کد مخرب با استفاده از مکانیزم مبهم سازی اختصاصی پنهان شده بود، توسط ابزارهای استاندارد شناسایی نشد و با اجرای اسکریپت ساخت setup.py که در حین نصب بسته اجرا شد، اجرا شد. از setup.py، از GitHub دانلود شد و اسکریپت bash aza.sh راه اندازی شد، که به نوبه خود برنامه های استخراج ارز دیجیتال Ubqminer یا T-Rex را دانلود و راه اندازی کرد.
منبع: opennet.ru